SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

Googleのパスワード入力不要計画はフィッシング詐欺を食い止めることができるか

この記事をシェア

グーグルが試験運用しているパスワード不要のサインインのシステムが実現すると、欺かれてパスワードを偽サイトに打ち込むおそれがなくなるかもしれない。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。

Googleのパスワード入力不要計画はフィッシング詐欺を食い止めることができるか

グーグルはパスワードを必要としない新しいログインシステムを試験中であることを明らかにした。このニュースは、ソーシャルニュースサイト”REDDIT”の中でエンジニアのロイット・ポール(Rohit Paul)氏によって発表された。スレッドのタイトルは「パスワードなしでグーグルアカウントに素早くログインする方法」である。

この優秀な技術者ポール氏は次のように語る。

「グーグルは小規模ではあるが、パスワードなしでグーグルアカウントにサインインする新しい方法をユーザーにテストしてもらっている「piza」「password」「123456」などといった符丁はもうお払い箱になる」

ポール氏はシステムがどのように動くか、その詳細について投稿の中で丁寧に説明してくれている。

最初に、パソコンを立ち上げ、自分のアカウントにログインできるようにする。

次に、パソコン上でグーグルのサイトを開いて、スクリーン右上の「サインイン」のタブをクリックする。

その次に、自分のメールアドレスを入力する。そして、いつも通り「次へ」をタップする。ところが、新しいログイン方法では、次のページでパスワード入力は求められないのだ。

その代わり、グーグル側は、あなたが自分のアカウントにアクセスするのに自分のスマートフォンを使うかどうか確認してくる。今度はあなたがスマートフォンをチェックする番だ。

スマートフォンの画面上で「通知バーをプルダウンして「通知にサインイン」をタップする」。「はい」をタップした後、本人確認の画面が提示される。ポール氏の挙げる例では、3つの数字のうちの1つをタップするという簡単な操作だ。

こういったステップを無事通過すると、自分のアカウントにログインできるというわけだ。長ったらしく複雑なパスワードの入力は必要なくなってしまう。

例えばバッテリーが切れていたり、家に忘れてきたりして、自分のスマートフォンでサインインできない場合であれば、ユーザーはパスワードを使って通常のログインができる。

だが、もしスマートフォンをなくした場合はどうするか。ロック画面か指紋認証を用いれば携帯は保護される、とグーグルは説明する。

さらにその説明によると、「スマートフォンをなくしたときは、いつでも別のデバイスからサインインしてマイアカウントページを開くことで自分のアカウントを守ることができる。そのページから自分のスマートフォンの使用状況を調べることができるし、そのスマートフォンからアクセスされているアカウントを停止すればいい」ということだ。

この新たなログイン方法は、本来のWebページとのやりとりを通じてはじめて成立するものであり、本物に見せかけた偽サイトに騙されてパスワードを入力するという被害を食い止める効果があると思われる。

すなわち、このグーグルによるパスワード入力不要計画は、蔓延するフィッシング対策に一定程度以上の効果を発揮するのではないだろうか。

この記事をシェア

個人情報のセキュリティ対策に

マルウェア情報局の
最新情報をチェック!